Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Transcript

1 Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS Società Progetto/Servizio Anno N. Doc Versione Pubblico

2 POSIZIONAMENTO DEL PRESENTE DOCUMENTO SIA-SSB ha definito uno schema di posizionamento di tutta la documentazione di sicurezza prodotta che è parte integrante del proprio Sistema di Governo della Sicurezza delle Informazioni. Lo schema struttura la documentazione in funzione della tipologia del documento (politiche di sicurezza, procedure, ecc). Il presente deliverable si inquadra al livello Processi/Procedure rispetto allo schema della struttura documentale di sicurezza sotto indicato: Politiche Linee Guida Processi/Procedure Istruzioni Operative Modelli Pagina 2

3 SOMMARIO 1. GENERALITÀ Scopo Validità Definizioni Riferimenti IL SISTEMA DI GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI DI SIA-SSB Descrizione del Sistema di Governo della Sicurezza delle Informazioni di SIA- SSB Ruoli e Incarichi di Sicurezza Linee Guida di Sicurezza Analisi e Gestione dei Rischi di Sicurezza Analisi dei Rischi di Safety Awareness di Sicurezza Incidenti di sicurezza Indicatori di sicurezza Compliance di Sicurezza Technical Security... 7 Pagina 3

4 1. GENERALITÀ 1.1 Scopo Il presente documento ha lo scopo di descrivere il Sistema per il Governo della Sicurezza delle Informazioni di SIA-SSB. 1.2 Validità Le indicazioni contenute nel presente documento hanno validità per tutte le unità aziendali di SIA-SSB. 1.3 Definizioni Acronimo/Termine CO.BAN. DNV IEC ISO NIST PCI-DSS SGSI Descrizione Consorzio Bancomat Det Norske Veritas International Electrotechnical Commission International Standards of Organization National Institute of Standards and Technology Payment Card Industry Data Security Standard Sistema per il Governo della Sicurezza delle informazioni 1.4 Riferimenti [01] ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements [02] ISO/IEC 27002:2009 Information technology. Security techniques. Code of practice for information security techniques Pagina 4

5 2. IL SISTEMA DI GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI DI SIA-SSB 2.1 Descrizione del Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB In generale, l obiettivo di un Sistema di Governo per la Sicurezza delle Informazioni (d ora in avanti referenziato come SGSI) è quello di garantire un adeguato livello di sicurezza dei processi e delle infrastrutture volte all erogazione dei servizi di business aziendali, attraverso l identificazione, la valutazione ed il trattamento dei rischi di sicurezza. In particolare, ogni SGSI definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei requisiti di sicurezza di base, ossia: Riservatezza, ovvero la proprietà dell informazione di essere nota solo a chi ne ha i privilegi; Integrità, ovvero la proprietà dell informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi; Disponibilità, ovvero la proprietà dell informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi; Conformità, ovvero la proprietà dell informazione di essere trattata in modo conforme alle leggi e alle normative di settore in tema di sicurezza. SIA-SSB ha sviluppato il proprio SGSI in quanto considera la sua attuazione fondamentale nelle relazioni con i propri stakeholder, quali clienti, fornitori, partner, società del gruppo, e per rispondere in maniera appropriata alle esigenze dei requisiti normativi e di mercato. Per quanto concerne il proprio SGSI, SIA-SSB: emana le norme di sicurezza necessarie, affinchè l organizzazione aziendale possa condurre in modo sicuro le proprie attività; integra le regole e le soluzioni di sicurezza nel processo di progettazione ed erogazione dei servizi aziendali; attua l analisi dei rischi di sicurezza dei processi e delle infrastrutture volte all erogazione dei servizi di business aziendali e l analisi dei rischi inerenti la safety e la sicurezza fisica; monitora i rischi di sicurezza individuati attraverso il Piano di Trattamento dei Rischi di Sicurezza; persegue gli obiettivi di continuità operativa attraverso uno specifico Sistema di Governo della Business Continuity, delle soluzioni logistiche e di Disaster Recovey; promuove la cultura relativa alla sicurezza; garantisce l attuazione degli adempimenti alle leggi; cura le compliance di sicurezza (VISA, Mastercard, CO.BAN, ecc.); definisce i ruoli e gli incarichi di sicurezza; gestisce un Comitato per la Sicurezza per l indirizzo e il coordinamento delle tematiche di sicurezza; controlla i propri sistemi tramite specifici piani di Vulnerability Assessment; esegue il monitoraggio e i controlli interni in ambito sicurezza; opera e amministra gli aspetti operativi di sicurezza in una logica di split knowledge e dual control. SIA-SSB per lo sviluppo del proprio SGSI ha scelto di adottare lo standard ISO SIA-SSB ha ottenuto la certificazione ISO27001 con la società DNV. Pagina 5

6 2.2 Ruoli e Incarichi di Sicurezza Nell ambito del proprio SGSI, SIA-SSB ha definito una serie di ruoli specifici di sicurezza del proprio personale all interno dell organigramma aziendale. Inoltre ha individuato una serie di incarichi specifici di sicurezza di tipo organizzativo, quali: il Comitato Sicurezza, che è composto dalle principali funzioni apicali e direttive di SIA-SSB e il cui scopo è quello di valutare i rischi di sicurezza, decidere come trattarli e controllare l avanzamento del Piano di Trattamento dei Rischi di Sicurezza, il Referente di Sicurezza di Direzione, che funge da punto di riferimento per le attività inerenti l SGSI all interno della propria Direzione. e di tipo operativo, quali il Local Security Administrator, che, nell ambito della propria unità organizzativa, svolge tipiche funzioni operative decentralizzate, e gli Amministratori di Sistema, definiti anche in coerenza con il Dlg. 196/ Linee Guida di Sicurezza Nell ambito del proprio sistema SGSI, SIA-SSB ha definito una serie di linee guida di sicurezza, al fine di garantire il rispetto dei requisiti di sicurezza, delle norme e delle leggi di sicurezza vigenti nell ambito delle singole mansioni lavorative. Le linee guida di sicurezza di SIA-SSB coprono ambiti di tipo organizzativo (il Sistema di Governo della Sicurezza delle Informazioni, la Continuità Operativa, la Gestione delle Risorse Umane, la Definizione delle Clausole Contrattuali verso i Fornitori in termini di sicurezza, la Classificazione e Gestione della Documentazione Aziendale, la Gestione degli Incidenti di Sicurezza) e ambiti di tipo operativo (il Controllo degli Accessi Fisici e Logici, il Vulnerability Assessment, il Change Management, la Gestione delle Registrazioni, il Backup dei Dati, l Uso degli Strumenti Informatici ed Elettronici, della Posta Elettronica e di Internet). 2.4 Analisi e Gestione dei Rischi di Sicurezza SIA-SSB periodicamente esegue l analisi e la gestione dei rischi di sicurezza al fine di indirizzare e gestire i rischi di sicurezza dei processi e delle infrastrutture (applicazioni, tecnologie, dati, risorse umane, reti, sedi) volte all erogazione dei servizi di business aziendali. Il processo, suddiviso concettualmente in tre fasi, 1. Analisi dei Rischi di Sicurezza 2. Gestione dei Rischi di Sicurezza 3. Monitoraggio del Piano di Trattamento dei Rischi di Sicurezza. è un processo aziendale, cui ogni componente organizzativa, ciascuna per la propria responsabilità/competenza, aderisce e partecipa. 2.5 Analisi dei Rischi di Safety Coerentemente alla legge 81/08, SIA-SSB periodicamente esegue l analisi dei rischi a livello safety. Il processo è volto alla valutazione globale e documentata di tutti i rischi per la salute e sicurezza dei lavoratori presenti nell'ambito dell'organizzazione, al fine di individuare le misure adeguate di prevenzione e di protezione e ad elaborare il programma delle misure atte a garantire il miglioramento nel tempo dei livelli di salute e sicurezza. Pagina 6

7 2.6 Awareness di Sicurezza La cultura di sicurezza è considerata da SIA-SSB un valore chiave per l azienda e viene sponsorizzata attraverso un processo continuo di educazione e di informazione. SIA-SSB realizza il proprio programma di awareness attraverso formazione multimediale, test ed esercitazioni pratiche, partecipazione a corsi specifici, insieme ad ogni altra iniziativa che possa essere utile a diffondere la conoscenza e la sensibilità sulla sicurezza in azienda. 2.7 Incidenti di sicurezza SIA-SSB gestisce gli incidenti di sicurezza all interno del più ampio sistema di gestione degli incidenti a livello aziendale, al fine di evidenziare i possibili rischi di sicurezza sui servizi di business e governare l eventuale piano di azione delle relative azioni correttive. 2.8 Indicatori di sicurezza Al fine di un continuo monitoraggio del proprio sistema aziendale in termini di sicurezza, SIA-SSB ha adottato un sistema di indicatori di sicurezza (di processo e tecnici), coerente con la metodologia NIST. Gli indicatori di sicurezza di SIA-SSB sono suddivisi in indicatori di sicurezza di tipo organizzativo, comportamentale, operativo e tecnico. 2.9 Compliance di Sicurezza SIA-SSB, per la tipologia dei servizi erogati, è soggetta al rispetto delle normative e standard di sicurezza dettate dagli enti nazionali ed internazionali (Co.Ban., Visa, Mastercard, ecc.). Alla data, le compliance di sicurezza comprendono l Omologazione CO.BAN, il PCI-DSS, il PCI PIN Security Programme, il Payment Technology Standard Manual Technical Security SIA-SSB supporta la progettazione, lo sviluppo e l erogazione dei propri servizi attraverso l individuazione dei requisiti di sicurezza, l amministrazione delle profilature e delle quantità di sicurezza, il monitoraggio degli eventi di sicurezza, l effettuazione di vulnerability assessment, e, più in generale, attraverso l indirizzamento della sicurezza ICT. Pagina 7